Сайт популярного менеджера загрузок JDownloader несколько дней использовали для распространения вредоносных установщиков под Windows и Linux. Это была атака на цепочку поставки: пользователи заходили на официальный сайт, но часть ссылок вела не на легитимный инсталлятор, а на сторонний сервер с трояном удалённого доступа. Разработчики JDownloader заявили, что основной код программы, обновления, macOS-версия, Snap, Flatpak, Winget и главный JAR-пакет не были изменены. Под удар попали те, кто скачивал альтернативный Windows-инсталлятор или Linux shell installer с 6 по 7 мая 2026 года.
Официальный сайт JDownloader скомпрометировали через уязвимость в системе управления контентом. Атакующие не получили полный доступ к серверной инфраструктуре, файловой системе или операционной системе хоста. Они смогли изменить опубликованные страницы и ссылки на скачивание через CMS. В результате часть пользователей получала не настоящий установщик, а подменённый файл с вредоносной нагрузкой.
JDownloader — бесплатный кроссплатформенный менеджер загрузок. Его используют для автоматического скачивания файлов с хостингов, видеосайтов и других ресурсов. Приложение доступно для Windows, Linux и macOS и давно известно среди пользователей, которые регулярно работают с большим количеством ссылок и файлов. У проекта миллионы пользователей.
Подмена работала ограниченное время. Разработчики временно отключили сайт, убрали вредоносные ссылки, исправили проблему в CMS и вернули ресурс в работу после проверки. Нормальное обслуживание сайта восстановили в ночь с 8 на 9 мая по UTC.
Разработчики уточнили, что инцидент затронул не все каналы распространения. Риск был у пользователей, которые в период компрометации скачивали альтернативный установщик JDownloader для Windows или Linux shell installer с сайта проекта.
Не были затронуты встроенные обновления JDownloader, загрузки для macOS, Flatpak, Winget, Snap-пакеты и основной JAR-пакет. Настоящие установщики JDownloader тоже не менялись: злоумышленники подменили цели ссылок на сайте, а не сами официальные бинарные файлы. То есть атака шла через веб-страницы и ссылки.
О взломе впервые сообщил на Reddit пользователь под ником PrinceOfNightSky, заметивший, что загруженные установщики помечаются как вредоносные программы Microsoft Defender. Пользователь заметил, что в свойствах файла вместо ожидаемого издателя AppWork GmbH появляются другие имена, включая Zipline LLC и The Water Team. После жалоб разработчики подтвердили компрометацию сайта и увели его в офлайн для расследования.
Проверка цифровой подписи стала главным простым способом отличить настоящий файл от подмены. Легитимный установщик должен быть подписан AppWork GmbH. Если подписи нет или указан другой издатель, такой файл нельзя запускать.
Исследователь Томас Клеменц изучил вредоносные Windows-файлы и пришёл к выводу, что они разворачивали обфусцированный Python-RAT. RAT — это Remote Access Trojan, троян удалённого доступа. Такой вредонос даёт оператору возможность управлять системой, выполнять команды, загружать дополнительный код и развивать атаку уже после первичного заражения.
Вредонос работал как загрузчик. Он подтягивал Python-код с командных серверов и мог использоваться как модульный бот/RAT-фреймворк. Security Affairs приводит индикаторы компрометации, включая хэши первоначального установщика, второй стадии и PyArmor-зашифрованного блока, а также домены командной инфраструктуры parkspringshotel[.]com и auraguest[.]lk.
Если такой установщик был запущен, нельзя считать проблему закрытой простым удалением JDownloader. RAT мог выполнить произвольный код, подтянуть новые модули, украсть токены, пароли, cookies, ключи SSH, содержимое браузеров или данные других приложений. Полный сценарий зависит от того, что оператор успел сделать на конкретной машине.
BleepingComputer отдельно разобрал подменённый Linux shell installer. В скрипт был встроен вредоносный код, который скачивал с checkinnhotels[.]com архив, замаскированный под SVG-файл. После распаковки появлялись ELF-файлы pkg и systemd-exec. Второй устанавливался как SUID-root бинарник в /usr/bin/, основная нагрузка копировалась в /root/.local/share/.pkg, а для закрепления создавался скрипт /etc/profile.d/systemd.sh. Запуск маскировался под /usr/libexec/upowerd.
Файл pkg был защищён обфускацией PyArmor, поэтому его полный функционал публично не описан. Но уже известной цепочки достаточно, чтобы считать систему скомпрометированной: вредонос пытался получить устойчивое присутствие, маскировался под системный компонент и работал с root-привилегиями.
В этом инциденте не нужно было убеждать пользователя скачать файл с подозрительного форума. Доверие давал сам официальный сайт. Это и есть суть supply chain attack: злоумышленник встраивается в привычный путь получения легитимного ПО.
Такие атаки особенно опасны для бесплатных и широко распространённых утилит. Их скачивают на новые компьютеры, рабочие станции администраторов, домашние машины, Linux-серверы и тестовые окружения. Пользователь может не проверять файл так строго, потому что источник не вызывает сомнений.
Также в апреле атакующие меняли ссылки на сайте CPUID для раздачи вредоносных файлов под видом CPU-Z и HWMonitor, а в мае скомпрометировали сайт DAEMON Tools троянизированными установщиками.
Если вы скачали JDownloader с официального сайта с 6 по 7 мая 2026 года через альтернативный Windows-инсталлятор или Linux shell installer, такой компьютер следует считать скомпрометированным. Разработчики и исследователи рекомендуют не ограничиваться удалением файла. После запуска вредоносного установщика безопаснее переустановить операционную систему и сменить пароли уже после очистки устройства.
Особое внимание — к паролям, токенам и сессиям. Надо заменить пароли от почты, облаков, мессенджеров, GitHub/GitLab, рабочих VPN, банковских и криптосервисов. Сессии в браузерах лучше принудительно завершить. Для рабочих устройств стоит проверить EDR-логи, сетевые соединения, автозагрузку, системные сервисы, SUID-файлы на Linux и нестандартные процессы, маскирующиеся под системные компоненты.
Пользователям, которые скачивали JDownloader через macOS-версию, встроенное обновление, Snap, Flatpak, Winget или основной JAR-пакет, можно не переживать. Публичные данные не указывают на компрометацию этих каналов. Но проверка цифровой подписи и контроль источника загрузки всё равно остаются необходимой мерой.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
